PI-hole

[John.B]

Wie heeft er goede ervaringen met PI-hole?
Draait dit op elke RPI?

Loopt de install vlot?
Kunnen er security problemen ontstaan?

Kan men in een bbox2 verwijzen naar het dhcp IP van de PI-hole?

Kan met een script schrijven om gebruiksvriendelijk de dhcp van de bbox 2 om te zetten naar een bepaald IP?
Bvb indien de RPI defect komt dat de gebruiker vanop een normale pc de dhcp weer op standaard kan zetten zonder dat die er echt kennis van moet hebben.

[Tim.Bracquez]

Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.

De Pi Hole installeren verloopt heel vlot, draait hier zelfs nog op een 256MB PI (oude)

Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.

[honda4life]

Interessant, direct testen

[MaT]

Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.

Wat ik doe is de primaire DNS server instellen op de PI en een secundaire DNS instellen op openDNS of google DNS.
In geval dat de Pi eruit ligt nemen de clients automatisch de secundaire server. Gewone gebruikers merken dus niets, buiten dat er wat reclame terug staat.

[Tim.Bracquez]

@MaT: Zo werkt dit niet, dit werkt Round Robin. Dus je gaat dan het nut van de pi hole weghalen

[jphermans]

Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.

Wat ik doe is de primaire DNS server instellen op de PI en een secundaire DNS instellen op openDNS of google DNS.
In geval dat de Pi eruit ligt nemen de clients automatisch de secundaire server. Gewone gebruikers merken dus niets, buiten dat er wat reclame terug staat.

Zo doe ik het dus ook en dit werkt toch fijn. Wannneer de pi er om de een of andere reden uit ligt. Kan iedereen thuis nog op het net.

[Tim.Bracquez]

Ter info: Meerdere DNS servers instellen is GEEN fallback! Je PC en je router gaat altijd RANDOM (round robin) deze DNS servers gebruiken. Kijk in men afbeelding naar bijvoorbeeld "forward destinations": https://puu.sh/ua8za/876792634c.png dit zijn de 2 achterliggende DNS servers die de pi hole used, je ziet mooi de bijna 50/50 verdeling!

Dus 2 dns servers is geen failover voor dit, je gaat dan steeds reclame blijven krijgen en eigenlijk je pi-hole voor niets gebruiken (voor 50%)
Het gaat werken maar de helft (ongeveer) van je queries gaan de deur uit via de andere DNS server

Beter is je router de DNS laten spelen en hier als DNS servers waar die alles gaat resolven je PI hole gebruiken. Voordeel is dan dat je clients nooit andere DNS servers moeten krijgen. Ligt je PI hole er uit, dan gewoon in je router de DNS servers aanpassen naar publieke ipv je pi hole

[jphermans]

Omdat ik nogal veel weg ben voor het werk en mijn vrouw niet weet wat te doen wanneer de pi zou uitliggen en ze ook geen dns server kan invullen in de router, hou ik het voorlopig zo.
Zal anders nog een pi-hole draaien op een vm en deze dan als failback gebruiken.

[ITnetadmin]

Juist, wat Tim zegt klopt volledig.

Het is een (klassieke, veel voorkomende) vergissing te denken dat windows de dns servers die je instelt in volgorde gaat aanspreken.
Hij gaat willekeurig eentje kiezen uit zijn lijst.

[DidierS]

Pi-Hole draait hier ook al een geruime tijd naar volle tevredenheid op een oude RPi van de eerste generatie. Nog geen fails gehad er op dus ook geen automatische oplossing voor handen als het toch eens gebeurd... dan moet de vriendin maar naar 4G tot ik thuis ben . Recent beginnen experimenteren met upstream OpenDNS voor parental control en dat lijkt ook vlotjes te gaan.

[John.B]

Is er een manier om het pi hole dashboard onbereikbaar te maken voor alle gebruikers?
enkel admin login om onterechte block in de whitelist te zetten.

Dit omwille van privacy rules.

[Sinna]

Welke versie van Pi-Hole draai je? In recentere versies is de admin-interface afgeschermd met een wachtwoord.

[DidierS]

Ik denk dat hij de interface niet zichtbaar wil om zo te vermijden dat andere gebruikers kunnen zien wanneer er iemand online gaat (bv om zo te weten te komen wanneer iemand wakker is of slaapt, ik zeg maar iets).

[vverbeke]

Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.

In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden

[Tim.Bracquez]

@vverbeke: Ah stom, zelf geen bbox in use. De 2 wel al op gedaan. Zelf doe ik altijd zelf de PPPoE op een MikroTik RouterBoard.

[remus]

Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.

In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden

is de bbox3 in bridge zetten en eigen router erachter dat je zo wel je dns naar keuze kan instellen geen alternatief?

[Tim.Bracquez]

@remus & @vverbeke: Inderdaad. Je kan zelfs vanop je Rasp PI dit doen de PPPoE en routeren als je wilt. Zelf nog niet getest, maar zie dat sommige mensen de PI als router gebruiken.

Hier draait naast de PI-hole ook monitoring en heel de sturing van mijn esp8266 automatisatie

[guntherstassen]

Net getest in een VMWARE omgeving.. Mijn raspy's zijn momenteel allemaal in gebruik.
Wel al enkele domeinnamen zelf in de blacklist moeten zetten (oa ligatus.com -> Enorm storende advertentieshit)
Ben eigenlijk verwonderd dat het goed werkt.... zal toch maar eens kijken om een pi'ke vrij te krijgen om deze op te installeren.

Of heeft iemand interesse om dit in de cloud te steken?

[Tim.Bracquez]

Of heeft iemand interesse om dit in de cloud te steken?

"Bijna" onmogelijk. Want je zet namelijk een Open Resolver op. Dus die wordt gewoon misbruikt voor DDoS attacks en dergelijke. Google / OpenDNS hebben een hele dure infrastructuur om dit te draaien en onder controle te houden.

Simpel voorbeeldje, een klant draaide dit, een week later ging er een 10Gbit verkeer naar toe naar de open resolver

Je moet al bijna enkel van sommige IP's toegang laten, maar zonder static IP's is dit zeer lastig.

Meer info over dit probleem: http://openresolverproject.org/

[John.B]

Ik denk dat hij de interface niet zichtbaar wil om zo te vermijden dat andere gebruikers kunnen zien wanneer er iemand online gaat (bv om zo te weten te komen wanneer iemand wakker is of slaapt, ik zeg maar iets).

Correct. De hele interface moet achter paswoord komen zitten.

[Sinna]

Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.

[kamiel]

iemand enig idee hoe je stieve kan whitelisten? Gewoon stievie.be of watch.stievie.be in de whitelist zetten werkt niet...

[ITnetadmin]

Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.

Dat is zelfs niet moeilijk, met een apache.

Gewoon htaccess file, htpasswd file met de user/pwd combi (en desgewenst htgroup file om de users in groups te steken).
Daar vind je makkelijk info over terug op internet.

[Sinna]

Dat bedoelde ik dus, maar ik kon niet meteen op de juiste termen komen. Bedankt!

[silencer]

Welke whitelist kun je gebruiken om Stevie toe te laten ?
Lukt mij maar niet icm de Pi-hole.

[kamiel]

Hier zelfde probleem

[Ofloo]

als je zelf bind draait gewoon downloaden en includen, .. https://loki.ofloo.net/blackhole.zone

[jphermans]

Weet iemand hoe de ads bij androidworld.nl te verbergen?
Deze zijn dus duidelijk nog zichtbaar.

[Ofloo]

welke adds ???

[jphermans]

Wannneer ik naar androidworld.nl surf zie ik veel reclame staan. Zie foto.

[John.B]

Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.

Dat is zelfs niet moeilijk, met een apache.

Gewoon htaccess file, htpasswd file met de user/pwd combi (en desgewenst htgroup file om de users in groups te steken).
Daar vind je makkelijk info over terug op internet.

En hoe kan dit eenvoudig onder lighttpd ?

[silencer]

Hier zelfde probleem

Query log laten lopen en whitelisten (enkele keren) en het is gelukt
Show blocked query's only aanvinken.

[kamiel]

'k het ook nog eens proberen, maar zal volledig opnieuw moeten beginnen. M'n raspberry pi reageert ondertussen niet meer.

[silencer]

'k het ook nog eens proberen, maar zal volledig opnieuw moeten beginnen. M'n raspberry pi reageert ondertussen niet meer.

Mijn whitelist (kan mss nog beter):
raw.githubusercontent.com
mirror1.malwaredomains.com
sysctl.org
zeustracker.abuse.ch
s3.amazonaws.com
hosts-file.net
gigya.com
cdns.gigya.com
gscounters.eu1.gigya.com
medialaancdn.be
libs.medialaancdn.be
adm.fwmrm.net
cdn.gigya.com
socialize.eu1.gigya.com
dev.visualwebsiteoptimizer.com
m1.fwmrm.net
js.moatads.com

[JimmyK]

Iemand een idee how to block acces naar andere dns servers?

Dus dat de pi hole binnen het network the only is die men can gebruiken?

Moeten er ports toegezet worden in de modem\router?

[foxhound]

DNS disablen op andere apparaten die dienst kunnen doen als DNS in je netwerk, en op routerniveau poort 53 blokkeren outbound, natuurlijk je forward DNS die je gebruikt whitelisten. Interne apparaten kunnen dan nog altijd rechtstreeks je upstream DNS contacteren wel.

Zelf nog nooit getest, dus mileage may vary.

[r2504]

en op routerniveau poort 53 blokkeren outbound

Probleem is dat er genoeg DNS servers zijn die luisteren op alternatieve poorten... oa. OpenDNS op 5353.

[ITnetadmin]

Ja. Hoe meer admins standaard poorten blokkeren, hoe meer er alternatieve poorten gebruikt worden.

Kijk bv naar dingen als websockets, technologie die video streaming laat encapsuleren in http pakketjes, puur om voorbij firewalls te geraken.

Geef het nog 10 jaar, en bijna alle internet traffiek zal over poorten 80 en 443 lopen, denk ik soms :-p

[r2504]

Ja. Hoe meer admins standaard poorten blokkeren, hoe meer er alternatieve poorten gebruikt worden.

In een correct netwerk staat dan ook alles toe outbound... behalve de services die je echt nodig hebt.

Waarom zouden er 65000 poorten openstaan als je enkel surft op poort 80 en 443.

[ITnetadmin]

Omdat een port een conventie is, en onnodige port blocking enkel programmeurs ertoe leidt om protocols op non-standard poorten te gooien.
Wat heb je eraan als iedereen alles op port 80 gaat zetten, omdat ze weten dat dat de enige open port is waarvan je zeker kan zijn dat ze open is wanneer je ergens op een guest wifi zit?

Dat gaat van mensen die ergens in een bedrijf als guest zijn, tot zieken die in het ziekenhuis op hun laptop wat bezig willen zijn, tot mensen die vanop eender welke locatie willen remoten naar een andere pc, tot mensen die overal willen streamen zonder tegen een of andere public firewall te lopen die net die port blokkeert.

En van welke ports ben je zeker dat ze zowat altijd open zijn?
Juist, 80 en 443.

Niet alleen gaat gewoon bijna alle user traffic langs die ports gaan op lange termijn, maar meer en meer traffic gaat zich ook camoufleren als webtraffic.
Wat niet zo moeilijk zal zijn nu ongeveer alles encrypted verloopt, dus deep packet inspection gaat over de jaren een maat voor niks worden.
Neem dat maar als een voorspelling van mij

Kijk nu al maar ns naar websocket streaming, dat zich in http pakketjes steekt om firewalls te passeren, of teamviewer die zich op port 80 verbindt om door zoveel mogelijk firewalls te geraken (wat de grootste ergernis bij logmein is/was voor velen die ik ken; half de KULeuven bv gebruikt teamviewer om de KUL firewall te kunnen passeren).